|
那么����,作為普通網(wǎng)民來說,如何防范這種短信嗅探犯罪呢?騰訊安全的技術(shù)人員表示�,最簡單的一招就是睡覺前關(guān)機(jī),手機(jī)關(guān)機(jī)后就沒有了信號�����,短信嗅探設(shè)備就無法獲取到你的手機(jī)號����。如果發(fā)現(xiàn)手機(jī)收到來歷不明的驗(yàn)證碼�����,表明此刻嫌疑人可能正在社工你的信息�,可以立即關(guān)機(jī)或者啟動飛行模式,并移動位置(大城市可能幾百米左右即可)��,逃出設(shè)備覆蓋的范圍。另外還要注意自己手機(jī)信號模式改變���。在穩(wěn)定的4G網(wǎng)絡(luò)環(huán)境下�����,手機(jī)信號突然降頻“GSM”�����、“G”或者無信號時��,警惕遇到黑產(chǎn)實(shí)施的強(qiáng)制“降頻”及GSM Hack攻擊�����,要及時更換網(wǎng)絡(luò)環(huán)境���,重新連接真實(shí)基站,檢查移動App異常惡意操作情況�。
在手機(jī)設(shè)置上,用戶可以使用“VoLTE”保護(hù)信息安全:在手機(jī)設(shè)置中開啟“VoLTE”選項(xiàng)�����,目前主流安卓或iphone手機(jī)均已支持。(VoLTE:Voice over LTE���,是一種數(shù)據(jù)傳輸技術(shù)��,無需2G或3G����,可實(shí)現(xiàn)數(shù)據(jù)與語音業(yè)務(wù)在4G網(wǎng)絡(luò)同時傳輸)
同時����,用戶最好關(guān)閉一些網(wǎng)站、APP的免密支付功能�,主動降低每日最高消費(fèi)額度;如果看到有銀行或者其他金融機(jī)構(gòu)發(fā)來的驗(yàn)證碼,除了立即關(guān)機(jī)或啟動飛行模式外��,還要迅速采取輸錯密碼��、掛失的手段凍結(jié)銀行卡或支付賬號��,避免損失擴(kuò)大��。
提示
平時需做好敏感私人信息保護(hù)
此外���,據(jù)犯罪嫌疑人交待��,他們利用設(shè)備可以登錄一些防范能力較低的網(wǎng)站(一般只需要手機(jī)號+驗(yàn)證碼)綽綽有余����。但是他們的目的并不僅限于成功登錄����,而是要盜刷你名下的錢。所以還需要通過其他手段獲取姓名���、身份證號���、銀行卡號等信息,他需要社工手段來確定這些信息����。因此,用戶平時要做好手機(jī)號���、身份證號��、銀行卡號���、支付平臺賬號等敏感的私人信息保護(hù)�����。
那么�����,騙子如何獲取用戶的這些信息呢?例如如何獲知附近用戶的手機(jī)號?據(jù)騰訊安全技術(shù)專家介紹�,手段千奇百怪��,比如騙子劫持到中國移動139郵箱發(fā)送來的短信“中國移動 139郵箱 狂歡來一波!100%有獎!點(diǎn)擊查看郵件詳情xx”后��,復(fù)制其中的鏈接到瀏覽器����,點(diǎn)擊“進(jìn)入掌上營業(yè)廳”,就可以直接看到手機(jī)號了��。知道了手機(jī)號以后��,再通過登錄其他一些網(wǎng)站�����,利用社工手段就可以很輕松地知道這個人的銀行卡賬號、身份證號�����。
在獲取了用戶信息后�,騙子就可以利用這些信息實(shí)施犯罪�。其一,登錄各種網(wǎng)站修改密碼�����,如許多電商����、旅游網(wǎng)站允許使用“手機(jī)號+驗(yàn)證碼”的登錄方式,而騙子又可以實(shí)時監(jiān)控到驗(yàn)證碼���,所以很容易就可以登錄�。據(jù)測試��,許多主流網(wǎng)站都可以順利登錄�,可以查看商品訂單、行程信息����、支付信息等�,而且還可以直接更改登錄密碼����。其二,可以盜刷資金��,許多App的安全策略較低�����,不少APP只要輸入“姓名+銀行卡賬號+身份證號碼+手機(jī)號碼+動態(tài)驗(yàn)證碼”����,就默認(rèn)是本人操作,騙子進(jìn)入以后馬上就會盜刷或者購買點(diǎn)卡類虛擬物品���。其三�,利用網(wǎng)站身份申請貸款等��,有些嫌疑人刷完了銀行卡中的錢��,還會通過這些信息在一些小的貸款網(wǎng)站���、平臺申請小額貸款����,讓受害人不但積蓄全無,還會背負(fù)債務(wù)��。通過非法獲取和販賣用戶的隱私信息��,黑產(chǎn)還可實(shí)施精準(zhǔn)的電信網(wǎng)絡(luò)詐騙�����、敲詐勒索��、惡意推廣營銷等不法活動���。
在此過程中,一些App會在必要時候啟動風(fēng)險措施�,如支付寶在嫌疑人試圖提現(xiàn)時啟動了風(fēng)控措施,從而中斷了嫌疑人進(jìn)一步實(shí)施犯罪的動作���。據(jù)介紹��,當(dāng)天嫌疑人利用偽基站和嗅探設(shè)備于1時42分通過“姓名+短信驗(yàn)證碼”的方式登錄了支付寶賬號;1時45分和1時48分通過社工到的信息對登錄密碼和支付密碼進(jìn)行了修改�����,并且綁定了銀行卡;1時50分到2時12分別通過輸入支付密碼的方式進(jìn)行網(wǎng)上購物932元��,并提現(xiàn)7578元�����。3時21分�����,嫌疑人想通過提現(xiàn)到銀行卡上的錢進(jìn)行購物�,支付寶風(fēng)控措施啟動,要求人臉校驗(yàn)����,沒有通過校驗(yàn)后嫌疑人便放棄。此時��,在支付寶上的消費(fèi)也就是932元���。
安全專家表示���,支付寶的安全等級算是高的��,但從嫌疑人的交待中���,還發(fā)現(xiàn)了許多網(wǎng)站的風(fēng)控措施不嚴(yán)格,很容易被利用�����。比如每天最高限額定得過高(某銀行每天限額達(dá)到5000元)����,比如更換設(shè)備登錄����、頻繁登錄沒有人臉或密碼校驗(yàn)等手段,再比如可以在網(wǎng)站上進(jìn)行小額貸款等操作�。
建議
App及網(wǎng)站需提高短信驗(yàn)證碼安全系數(shù)
而針對網(wǎng)絡(luò)平臺,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會也下發(fā)了一份《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》��,建議個各App���、網(wǎng)站服務(wù)提供商對業(yè)務(wù)系統(tǒng)中短信驗(yàn)證碼的使用方式進(jìn)行摸底���。例如在用戶注冊�����、密碼找回����、資金支付等環(huán)節(jié)的短信驗(yàn)證碼使用情況���,并評估相關(guān)安全風(fēng)險���,優(yōu)化用戶身份驗(yàn)證措施。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會建議的方式包括:短信上行驗(yàn)證�����、語音通話傳輸驗(yàn)證碼��、常用設(shè)備綁定�、生物特征識別、動態(tài)選擇驗(yàn)證方式等��。
如短信上行驗(yàn)證具體是:提供由用戶主動發(fā)送短信用以驗(yàn)證身份的功能�����,如要求用戶在規(guī)定時間內(nèi)(如 60 秒),使用已綁定的手機(jī)號碼向移動應(yīng)用��、網(wǎng)站服務(wù)提供商指定的短信服務(wù)號碼發(fā)送指定內(nèi)容短信��,移動應(yīng)用�、網(wǎng)站服務(wù)根據(jù)短信內(nèi)容對用戶身份進(jìn)行驗(yàn)證。常用設(shè)備綁定為:提供將用戶賬號與常用設(shè)備綁定的功能��,原則上支付����、轉(zhuǎn)賬等敏感操作只能通過該綁定設(shè)備執(zhí)行。設(shè)備綁定���、更換等操作應(yīng)采用短信上行驗(yàn)證、語音通話傳輸驗(yàn)證碼等方式�,并采用諸如要求用戶回答預(yù)設(shè)問題、提供注冊時填寫的相關(guān)用戶信息或核對該用戶賬號近期操作記錄等方法進(jìn)一步確認(rèn)用戶身份�����。
文/本報記者 溫婧
2/2 首頁 上一頁 1 2 |
